日志服务对现有告警功能进行了升级,目前您可以在日志审计服务和成本管家中使用新版告警功能。本文介绍新版告警功能相关信息。

现有告警功能仅支持配置告警规则任务,告警功能单一。新版告警功能增强了告警规则任务功能,并新增告警策略和行动策略。具体架构如下所示:

  • 现有告警功能现有告警流程
  • 新版告警功能

    新版告警通过告警规则任务监控数据。触发告警后,告警事件经过告警策略(抑制、静默、合并处理)和行动策略(动态路由渠道等)的处理,再通过指定的告警渠道(邮件、语音等)通知用户。

    新版告警支持将告警事件存储到全局告警中心,并提供多张报表包括告警规则中心、事件链路中心、告警排障中心,对稳定安全、异常态势处理、告警处理效率等一目了然。

    告警2.0流程

告警规则任务

新版告警规则任务增强如下功能:

  • 增强监控能力
    • 无数据识别:无数据时也可视为异常,避免潜在大问题。
    • 黑白名单:动态支持白名单与黑名单。
  • 智能告警监控
    • 分组评估:一条规则可对多个对象并行监测并分开告警。例如:日志审计服务对所有根账号异常登录监控,并对不同账号分开告警。
    • 恢复通知:异常情况恢复后,支持通知用户。
    • 动态级别与标签:新增告警级别,您可以根据结果动态调节级别与标签,让告警更有效。

行动策略

新版告警新增行动策略功能,提供如下功能:
  • 加强行动策略管理
    • 告警渠道管理:独立的告警渠道,方便复用。并可以根据告警特性,动态选择发送渠道、内容模板和接收人。例如:普通告警通过短信或钉钉群通知,严重告警追加语音通知。
    • 工作流管理:当告警长时间未解决时,自动升级告警,发送给第二队列的用户,确保重要事件及时处理。例如:您可以设置当发生严重告警后,4小时仍未解决,则通知到主管。
  • 简化接收人管理
    • 独立用户组:支持发送给用户组,人员管理更简单。
    • 独立用户:独立的用户管理,支持批量导入、用户禁用、或特定渠道(例如语音)禁用。

告警策略

新版告警新增告警策略功能,提供如下功能:
  • 告警风暴控制
    • 合并:按规则合并同类告警,并静默重复告警。
    • 静默:对符合条件的告警在特定时间范围内直接静默。
    • 抑制:符合特定条件的告警发生时,可以直接抑制其他相关告警。
    • 全局:支持全局、跨地域管理告警策略。
  • 更高级的告警事件处理编排
    • 行动策略路由:动态路由,不同告警绑定不同行动策略。
    • 告警策略继承:支持告警策略的默认与继承,简化策略管控。
    • 行动策略重置:支持直接路由到告警规则附带的行动策略。

目前日志审计服务中的告警规则通过SLS审计内置告警策略指定关联的行动策略。而在成本管家中,告警规则直接指定行动策略进行告警处理。